Kommunikasjon med ledelsen hva kan Difi bidra med?

Transkript

1 Kommunikasjon med ledelsen hva kan Difi bidra med? Katrine Aam Svendsen Seniorrådgiver NIFS

2 Innhold Hvem er «ledelsen»? Innhold i Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet» E-læring: Er det sikkert? Dilemmatrening for ledergruppen

3 «Ledelsen» - Hvem mener vi? Virksomhetsledelsen «Toppledelsen», «ledergruppa», etc. «Operative ledere» Linjeledere Ansvarlig for mål og resultater i sin enhet Oppgaveeier/prosesseier Risikoeier

4 Virksomhetsledelsens viktigste rolle å få gjennomført nødvendige etableringsaktiviteter i virksomheten å gi de overordnede føringene for det kontinuerlige internkontrollarbeidet å tilføre nødvendige ressurser å følge opp at føringer blir etterlevd og fungerer som forutsatt å gjøre nødvendige endringer ved behov

5 Ledelsens styring og oppfølging Virksomhetsledelsens gjennomgang Minimum en gang årlig Ledere på alle nivå Delegere og følge opp gjennom linjen Sikre finansielle rammer Kommunisere viktighet Løfte og håndtere problemstillinger gjennom linjen Beredskap og krisehåndtering

6 Innhold i Difis veiledningsmateriell INTERNKONTROLL I PRAKSIS - INFORMASJONSSIKKERHET

7 Hjelpemidler i «Internkontroll i praksis» Sammendrag for toppleder Foredrag for toppledergruppe Beslutningspunkter for ledergruppen ved etablering/forbedring av internkontroll Virksomhetsledelsen gjennomgang For «viderekomne»

8 Sammendrag for toppleder 1. Hvordan få til internkontroll for informasjonssikkerhet? 2. Internkontroll, risiko og informasjonssikkerhet 3. Krav og anbefalinger 4. Sjekkliste for toppledere /for_toppledere_-_internkontroll_informasjonssikkerhet.pdf

9 Sammendrag for toppleder 1. Hvordan få til internkontroll for informasjonssikkerhet? 2. Internkontroll, risiko og informasjonssikkerhet 3. Krav og anbefalinger 4. Sjekkliste for toppledere /for_toppledere_-_internkontroll_informasjonssikkerhet.pdf

10 1. Hvordan få til internkontroll for informasjonssikkerhet? Analyse av status og plan for etablering og forbedring Tydelige føringer for aktivitetene En ledelse som bryr seg Fagansvarlig informasjonssikkerhet som rådgiver og pådriver

11 4. Sjekkliste for toppledere

12 Foredrag for toppledergruppen Ligger tilgjengelig under «Presentasjoner» på maler og eksempler-siden Presentasjonen kan brukes fritt Ønsker du at vi skal komme og holde foredrag for «din» ledergruppe? Send en e-post på

13 Topplederforedrag - innhold Bakgrunnskunnskap: Hva er informasjonssikkerhet Potensielle konsekvenser ved brudd på informasjonssikkerheten Krav og anbefalinger til virksomhetene Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet» Viktige aktører i virksomheten Systematiske aktiviteter Hvordan jobbe for å få på plass god internkontroll Etablering/forbedring Difis anbefaling for overordnede styrende dokumenter Sammenhenger mellom systematisk og god internkontroll, og etablering/vedlikehold av konkrete sikkerhetstiltak

14 Topplederforedrag - innhold Bakgrunnskunnskap: Hva er informasjonssikkerhet Potensielle konsekvenser ved brudd på informasjonssikkerheten Krav og anbefalinger til virksomhetene Difis veiledningsmateriell «Internkontroll i praksis informasjonssikkerhet» Viktige aktører i virksomheten Systematiske aktiviteter Hvordan jobbe for å få på plass god internkontroll Etablering/forbedring Difis anbefaling for overordnede styrende dokumenter Sammenhenger mellom systematisk og god internkontroll, og etablering/vedlikehold av konkrete sikkerhetstiltak

15 Potensielle konsekvenser ved brudd på informasjonssikkerheten Vår egen jobb feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid Personer og virksomheter tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

16 Etablering/forbedring av internkontroll Difis anbefaling: 1. Analyse av status Med Difis mal 2. Plan for etablering / forbedring 3. Ledelsens føringer for aktivitetene Hvordan skal ting fungere hos oss? Styrende dokumenter

17 Difis mal for analyse av status Støtteark

18 Hvordan få til «ledelsesforankring» Husk! Internkontroll er ledelsens verktøy for å ha styring og kontroll En virksomhet kan ikke ha et «styringssystem» på siden, forankret noe annet sted Topplederbeslutning: gjennomføre analyse av status Topplederbeslutning: plan for etablering forbedring eller å være fornøyd med det dere har

19 1 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontrollaktiviteter Tilleggssikring Fellessikring Sikkerhetstiltak Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. 3

20 Virksomhetsledelsens gjennomgang Sentrale temaer over tid: Status på vedtatte tiltak Bakgrunnskunnskap Trender Sammenhenger, konflikter, balanse K-I-T Betydning i virksomheten Status på det helhetlige internkontrollarbeidet Tilbakemeldinger på informasjonssikkerhetsnivået Status på spesielle risikoer/risikoområder Muligheter for forbedring

21 Saksnotat virksomhetsledelsens gjennomgang Virkemiddel for en effektiv virksomhetsledelsens gjennomgang Utarbeides av fagansvarlig informasjonssikkerhet Tydelige og begrunnede anbefalinger Innhold tilpasset virksomhetens behov og situasjon, og hva som vil være tema i virksomhetsledelsens gjennomgang. Bør alltid inneholde: status i oppfølgingspunkter fra forrige gjennomgang sentrale trender i risikobildet både for virksomheten, nasjonalt og internasjonalt omtale av særskilte risikoer av strategisk betydning for virksomheten oppsummering av vesentlige avvik i internkontrollarbeidet og i informasjonssikkerheten vurdering av årsaker til vesentlige avvik anbefalte tiltak for forbedring

22 For «viderekommende» Sammendrag: «Grunnleggende innføring» «Grunnleggende begreper» Godt å vite Ledelsens styring og oppfølging Hvorfor internkontroll informasjonssikkerhet? Suksessfaktor Tonen på toppen Suksessfaktor Støtte til ledelsen Krav og anbefalinger

23 E-læring ER DET SIKKERT?

24 Er det sikkert? E-læring med toppleder som målgruppe Fokus: Lederansvar Positivitet Lønnsomhet Mer enn konfidensialitet

25 Modulene i programmet Informasjonssikkerhet lønner seg Jobb smart med informasjonssikkerhet God virksomhetsstyring Tonen på toppen Digitalisering og sikkerhet ditt ansvar i digitaliseringsprosjekter Informasjonssikkerhet gir muligheter

26 Film fra «Er det sikkert» modul 2 Internkontroll i praksis informasjonssikkerhet

27 Film fra «Er det sikkert» modul 4 Tonen på toppen

28 «Bevisstgjørende» spørsmål

29

30 DILEMMATRENING FOR LEDERGRUPPEN

31 Dilemmatrening

32